Allegro wykorzystane przez cyberprzestępców. „Nie doszło do włamania do infrastruktury"

W ostatnich dniach użytkowników polskich skrzynek pocztowych zalała fala wiadomości w których w polu nadawcy widnieje nazwa Allegro. – Wskazane maile są wysyłane z infrastruktury przestepców podszywających się pod Allegro – deklaruje w komentarzu przesłanym redakcji XYZ.pl Marcin Gruszka, rzecznik Allegro.

Kampania spamerów rozpoczęła się prawdopodobnie na początku stycznia. Polega na masowym wysyłaniu wiadomości zawierających tytuły: „Płatność odrzucona”, „Odmowa płatności” czy „zablokowane konto”. Treść odnosi się najczęściej do konta „Cloud+”, aczkolwiek w każdym przypadku w polu nadawcy widnieje mail powiadomienia@allegro.pl.

– Temat jest nam znany i już odpowiednio przez nas zaopiekowany. Nie doszło do jakiegokolwiek włamania do naszej infrastruktury – tłumaczy Marcin Gruszka.

Cyberprzestępcy podszywają się pod Allegro

Skala ataku nie jest obecnie znana. Wiadomo o co najmniej kilkudziesięciu przypadkach użytkowników, którzy dostali takie wiadomości

– Cyberprzestępcy często podszywają się pod znane marki, wysyłając fałszywe wiadomości e-mail. Aktywnie monitorujemy takie próby, współpracujemy z partnerami technologicznymi w celu ich szybkiego blokowania oraz regularnie edukujemy użytkowników, jak rozpoznawać kampanie phishingowe. Są to działania prowadzone poza infrastrukturą Allegro. Dzięki ścisłej współpracy z partnerami i zgłoszeniom od użytkowników jesteśmy w stanie znacząco ograniczać ich skalę oraz czas trwania – tłumaczy Marcin Gruszka.

Co zrobić z mailami

Przedstawiciel Allegro radzi, by użytkownicy oznaczali wiadomość jako Spam.

– Nie powinni też pod żadnym pozorem klikać w linki czy otwierać załączniki. Oczywiście nie powinno się na takie wiadomości odpowiadać. Można zawsze przesłać oryginał takiego e-maila na adres: phishing@allegro.pl - pomoże to w dalszych działaniach zabezpieczających. Oznaczenie jako spam tych wiadomości nie powinno blokować korespondencji od Allegro. Allegro nie jest nadawcą tych wiadomości – dodaje Marcin Gruszka.

Na czym polega spoofing

Technika, którą zastosowali przestępcy w przypadku powyższego ataku, to „spoofing nadawcy”. Pod względem technicznym przestępca nie musi mieć dostępu do prawdziwego konta firmy.

Spoofing nadawcy polega na tym, że oszust fałszuje dane nadawcy wiadomości, tak aby wyglądała ona jak wysłana przez znaną firmę. Technicznie jest to możliwe dlatego, że systemy komunikacji, takie jak e-mail i SMS, nie weryfikują automatycznie, czy nadawca ma prawo posługiwać się daną nazwą lub adresem. W przypadku e-maili protokół SMTP pozwala wpisać dowolny adres w polu „Od”. Serwer odbiorcy przyjmie wiadomość, jeśli nie zablokują jej dodatkowe mechanizmy.

Oszust nie musi więc włamywać się na skrzynkę banku czy firmy. Wystarczy, że użyje serwera, który umożliwia wysyłkę z podszytym adresem. Podobnie działa to w SMS-ach. W tym przypadku zamiast numeru telefonu wyświetla się tzw. nazwa nadawcy. W wielu systemach można ją ustawić dowolnie. Bez konieczności potwierdzenia, że rzeczywiście należy do danej marki. Zabezpieczenia techniczne istnieją, ale nie wszędzie są poprawnie wdrożone, dlatego fałszywa wiadomość często wygląda identycznie jak prawdziwa.

Celem spoofingu jest nakłonienie ofiary do szybkiego działania. Przykładowo, kliknięcia w link prowadzący do fałszywej strony logowania, pobrania złośliwego załącznika albo wykonania „pilnej” płatności.